Internet | Ransomware | Aféry

Experti z brněnského Greycortexu: WannaCry nás překvapil svou agresivitou v síti

O ransomwarové vlně toho již byly napsány tuny a souhrnný článek si můžete přečíst i u nás na Živě.cz, za zmínku ale stojí i zkušenosti českého Greycortexu, který se zabývá podrobnou analýzou komunikace v síti a to pomocí prvků A.I.

Výzkumníci z brněnského startupu spustili virus ve virtuálním prostředí a sledovali, jak se bude chovat. „Překvapilo nás, že se tento ransomware v síti chová velmi neobvykle až agresivně. Kromě jednodušeji odhalitelných metod jako je skenování portu 445, jsme detekovali celou sérii anomálií jako pokusy o připojení k více než 4 000 zařízením v celkem 175 zemích během pouhých 5 minut,“ popisuje Michal Šrubař z Greycortexu.

677602211
WannaCry právě zašifroval soubory na Windows. Ale jen v sandboxu virtualizovaných Windows.

Jak už vyšlo najevo během víkendu, ransomware se po prvním spuštění pokusí spojit s doménou iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (80/tcp), a pokud druhá strana odpoví, malware zůstane nečinný. Autoři si tedy připravili zadní vrátka pro plošnou deaktivaci a díky zabrání této domény se podařilo první vlnu malwaru pozastavit.

Výzkumníci z Greycortexu doménu na firewallu zablokovali, aby se virus aktivoval, a sledovali, co se bude dít dál. Ransomware začal šifrovat soubory a ověřil konektivitu do internetu pokusem o připojení na doménu youtube.com.

Dále se už virus pokusil šířit dál skrze lokální síť a internet a to pomocí všemožnými záškodníky oblíbené služby MS-DS (Microsoft Directory Services) a zranitelnosti MS17-010. Během pouhých pěti minut se infikované zařízení pokusilo zaútočit na více než 4 000 dalších počítačů a obešlo oněch 175 zemí světa.

477785137 660001976
Po spuštění se WannaCry pokoušel šířit dál na tisíce zařízení internetu

V interní síti se pokusil virus otevřít port 445/tcp a úspěšně začal šifrovat soubory na dalším počítači v LAN. Ransomware také stáhl potřebné soubory z dist.torproject.org, aby mohl komunikovat s anonymizační sítí TOR. Tato síť se v případě ransomware často používá k výměně klíčů, které používá k šifrování úložišť.

Zbytek už znáte. Na každém zašifrovaném počítači virus zobrazil dialog o úspěšném útoku a s žádostí o zaplacení výkupného. A to s varováním, že pokud bitcoinový obnos nedorazí na zadanou adresu v dané lhůtě, pokuta se zdvojnásobí.

275907741
Aktivita WannaCry, jak ji ve svém monitorovacím systému zachytil GreyCrotex

Greycortex se snaží vyvinout takovou analýzu sítě, aby došlo k odhalení podivného chování některých klientů dostatečně rychle před samotnou nákazou. Software tedy neustále analyzuje veškerý tok a pomocí prvků strojového učení odhaluje podobné anomálie.

Diskuze (6) Další článek: Podívejte se, jak vypadá čínská „klikací farma“ na falešné hodnocení mobilních aplikací a sociálních účtů

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,